1. Unidad 3 : Prácticas de Auditoría
3.2 Auditoria Gestión de TI – Adquisición Desarrollo-
Implementación de Sistemas de Información
Auditoría Informática
Modalidad de estudios: Semi Presencial
Mg. Luis Fernando Aguas Bucheli
+593 984015184
@Aguaszoft
Laguas@uisrael.edu.ec
Lfabsoft2019@gmail.com
2. Objetivos del encuentro:
1. Adquirir los conceptos básicos relacionados con
Auditoría
2. Reconocer las características de la Auditoría
Semana Nro. 11
3. Frase Motivacional
“La lógica puede llevarte de un punto
A a un punto B. La imaginación
puede llevarte a cualquier lugar” –
Albert Einstein.
4. Identificar Soluciones
ADQUISICIÓN E
IMPLEMENTACIÓN
Se identifican 6
procesos para la
adquisición, desarrol
lo e implementación
para llevar a cabo la
estrategia de TI.
AI1
AI2
Adquirir y
Mantener
Software
de
Aplicación
AI3
Adquirir y
Mantener
Arquitectura
Tecnológica.AI4
Desarrollar y
Mantener
Procedimient
os
relacionados
con T.I.
AI5
Instalar y
Acreditar
Sistemas
AI6
Administrar
Cambios.
5. análisis de
requerimientos del
usuario mediante un
las
oportunidades
comparadas con los
requerimientos de los
usuarios para la cual
se debe observar:
• Aéreas Usuarias
• El sistema
Gerencial
Asegurar el enfoque
para cumplir con los
AI1
Identificar
Soluciones
6. AI 2
ADQUISICIÓN Y MANTENIMIENTO DE
SOFTWARE DE APLICACIÓN
LOS OBJETIVOS DE CONTROLTANTO
DETALLADOS COMO DE ALTO NIVEL
SON AUDITADOSAL:
Comprender a través de:
OBTENIENDO:
* Políticas y procedimientos
relacionados con la metodología del
ciclo de vida del desarrollo de
sistemas
* Objetivos y planes a corto y largo
plazo de tecnología de información
* Documentación seleccionada del
proyecto, incluyendo aprobaciones de
diseños, definición de requerimientos
de archivo,
ENTREVISTAS:
* Director de TI
* Funcionario de Seguridad
*Presidencia de la función de
servicios de información
*Propietarios / patrocinadores de
proyectos
7. EVALUACIÓN DE LOS
CONTROLES:
La metodología de ciclo de
vida de desarrollo de sistemas
requiere la evaluación de los
aspectos básicos de seguridad
y control interno de un sistema
nuevo a ser desarrollado o
modificado, junto con el diseño
conceptual del sistema, con el
fin de integrar los conceptos
de seguridad en el diseño lo
más pronto posible.
EVALUAR LA SUFICIENCIA:
La metodología del ciclo de vida de
desarrollo de sistemas asegura que
existe un proceso que considera
apropiadamente todos los aspectos
de diseño de sistemas (por ejemplo,
entrada, procesamiento, sa
lida, controles
internos, seguridad, recuperación en
caso de desastre, tiempo de
respuesta, reportes, control de
cambios, etc.)
Que la revisión del diseño y el
proceso de aprobación aseguran
que todos los problemas han sido
resueltos antes de comenzar a
trabajar sobre la siguiente fase del
proyecto.
EVALUAR EL RIESGO DE LOS
OBJETIVOS DE CONTROL NO
ALCANZADOS:
Documentación seleccionada del
software para asegurar que los
requerimientos de archivo (por lo
menos para los archivos
mencionados a continuación) son
comprendidos claramente por el
equipo de implementación del
proyecto y están siendo
estructurados por sistema y
requerimientos del usuario, así
como por las reglas de diccionario
de datos de la organización:
* Maestro
* Transacciones
* Comando
* Programa
* Control
* Tablas
* Reportes
*Impresión
Bitácora
Transmisión
8. AI 3
ADQUISICIÓN Y
MANTENIMIENTO DE
ARQUITECTURA DE
TECNOLOGÍA
LOS OBJETIVOS DE
CONTROL TANTO
DETALLADOS COMO DE
ALTO NIVEL SON
AUDITADOS AL:
Comprender a través de:
de
ENTREVISTAS:
* Director de TI
*Funcionario
Seguridad
* Presidencia de la
función de servicios de
información
/
de
* Propietarios
patrocinadores
proyectos
OBTENIENDO:
Documentación
delseleccionada
proyecto, incluyendo
aprobaciones de
diseños, definición de
requerimientos de
archivo, especificaciones
de programas, diseño de
recopilación de datos
fuente, plan de pruebas y
resultados del software de
aplicación, materiales de
soporte y referencia para
usuarios y reevaluación del
diseño del sistema
OBJETIVOS DE
CONTROL
*Evaluación de Nuevo
Hardware y Software
*Mantenimiento Preventivo
para Hardware
* Seguridad del Software
del Sistema
*Instalación del Software
del Sistema
*Mantenimiento del
Software del Sistema
*Controles para Cambios
del Software del Sistema
9. • CONSIDERANDO SÍ:
• Existen políticas y procedimientos que
aseguran que:
• se prepara un plan de evaluación
formal para evaluar el nuevo hardware
y software en cuanto a cualquier
impacto sobre el desempeño global
del sistema
• la posibilidad de acceso al software
del sistema y con ella, la posibilidad
de interrumpir los sistemas de in-
formación operativa es limitada
EVALUAR LOS
CONTROLES:
•PROBANDO QUE:
•Existen los estatutos de aseguramiento
de la integridad del software entregados
por el proveedor de software del sistema
para todo el software del sistema
(incluyendo todas las modificaciones) y
considera las exposiciones resultantes
en el software del sistema
•La evaluación del desempeño trae como
resultado la comparación con los
requerimientos del sistema
•Existe un proceso formal de evaluación
del desempeño
EVALUAR LA
SUFICIENCIA:
• LLEVANDO A CABO:
• La documentación seleccionada de sistemas
operacionales o proyectos de desarrollo o
modificación de siste-mas para determinar si
los requerimientos formales de desempeño
de hardware y software (incluyendo refe-
rencias para volumen de
transacción, tiempos de procesamiento y
respuesta, tamaños de archivos y bases de
datos, volúmenes de redes y compatibilidad
de protocolos de comunicaciones) existen
para todos los sistemas
EVALUAR EL RIESGO
DE LOS OBJETIVOS
DE CONTROL NO
ALCANZADOS:
10. AI 4
DESARROLLO Y
MANTENIMIENTO
DE
PROCEDIMIENTOS
DE TECNOLOGÍA
DE NFORMACIÓN
Políticas y procedimientos
organizacionales relacionados con:
Planeación estratégica y objetivos del
negocio, planeación de sistemas de
información y desarrollo de aplicaciones
Políticas y procedimientos de las funciones
de servicios de información relacionadas
con el desarrollo del sistema, incluyendo:
organigrama, metodología del ciclo de vida
de desarrollo de sistemas, planeación de
capacidad, manuales de usuarios y
operaciones, materiales de
entrenamiento, pruebas y migración a
estatus de producción y documentos de
planeación de reanudación/contingencia
11. EVALUAR LOS
CONTROLES:
• CONSIDERANDO
SÍ:
• Los requerimientos
operativos fueron
determinados con
estadísticas
históricas de
desempeño
disponibles y
entradas del usuario
con respecto a
incrementos/decrem
entos esperados
• El nivel de servicio y
las expectativas de
desempeño están o
suficientemente
detallados
permitir
para
el
seguimiento, la
emisión de reportes
y las oportunidades
de mejora
EVALUAR LA
SUFICIENCIA:
• PROBANDO QUE:
• Existen
requerimientos
operacionales y que
éstos reflejan tanto
las expectativas de
operación como las
de los usuarios
• El desempeño
operacional está
siendo
medido, comunicado
y corregido en donde
existen deficiencias
• El personal de
operaciones y los
usuarios están
conscientes y tienen
conocimiento de los
requerimientos de
desempeño
EVALUAR EL RIESGO DE LOS
OBJETIVOS DE CONTROL NO
ALCANZADOS:
• LLEVANDO A
CABO:
• Para una selección de
proyectos de
desarrollo de
sistemas, revisiones
y aprobaciones de
documentación en cuanto a:
• la consideración de futuros
requerimientos y
niveles de servicio de
usuarios
• la tarea, entrega y
liberación para la
creación y
mantenimiento de
manuales de
usuario
• la tarea, entrega y
liberación para la
creación y
mantenimiento del manual
de operación la tarea,
entrega y liberación de
entrenamiento para el
usuario para comprender y
utilizar nuevos sistemas o
nuevas modificaciones
12. INSTALACIÓN Y
ACREDITACIÓN
DE SISTEMAS
Políticas y procedimientos
organizacionales relacionados con la
planeación del ciclo de vida de
desarrollo de sistemas
Políticas y procedimientos de la
función de servicios de información
relacionadas con políticas y comités
de seguridad, planeación del ciclo de
vida de desarrollo de sistemas para
programas, unidades, planes de
prueba del sistema, entrenamiento de
usuarios, migración de sistemas de
prueba a producción, aseguramiento
de la calidad y entrenamiento
Plan y calendarización del ciclo de
vida de desarrollo de
sistemas, estándares de
programación de ciclo de vida de
desarrollo de sistemas, incluyendo
procesos de requisición de cambios
13. EVALUARLOSCONTROLES:
• CONSIDERANDO SÍ
• Existe una metodología
formal de ciclo de vida
de desarrollo
sistemas para
instalación
de
la
y
acreditación de
sistemas, incluyendo, p
ero no limitándose a, un
enfoque en fases sobre:
entrenamiento, adecuac
ión del
desempeño, plan de
conversión, pruebas de
programas, grupos de
programas (unidades) y del
sistema total, un
plan de pruebas
prototipo o
paralelo, pruebas de
aceptación, pruebas y
acreditación de
seguridad, pruebas
operativas, controles de
cambio, revisión y
modificación de
implementación y post-
implementación
EVALUARLASUFICIENCIA:
• PROBANDO QUE
• El personal está
consciente, comprende
y tiene conocimiento de
la necesidad de
controles formales de
desarrollo de sistemas y
entrenamiento de
usuarios para cada
instalación e
implementación de
desarrollo. La
consciencia, comprensi
ón y conocimiento de
usuarios seleccionados con
respecto a sus
responsabilidades en el,
aprobación, pruebas,
entrenamiento, conversi ón
y proceso de
implementación es
conocida y considerada
EVALUARELRIESGODELOSOBJETIVOSDECONTROLNO
ALCANZADOS
Llevandoacabo:
•UNA REVISIÓN
DETALLADA DE
•las herramientas y
monitoreo de redes y
recursos utilizados para
recopilar estadísticas para
mantenimiento y
optimización, asegurando
el soporte a las
aplicaciones desarrolladas
para lograr un desempeño
máximo a un costo mínimo
•registros de una tentativa
de desarrollo para
determinar la disponibilidad
de:
•Entrenamiento de usuarios
•Seguridad
•Desempeño de software
•Documentación
resultados de pruebas
•Plan de conversión
•Migración a producción
•Control de cambios
durante el desarrollo
•Satisfacción de las
necesidades del usuario
•Pruebas piloto o en
paralelo
•Revisión post-
implementación
•conclusiones de auditoría
interna o externa
14. Formato y bitácora de
requisiciones de control de
cambios
Contratos con proveedores
relacionados con servicios de
desarrollo de aplicación
OBJETIVOS DE CONTROL
* Inicio y Control de
Requisiciones de Cambio
* Evaluación del Impacto
* Control de Cambios
y* Documentación
Procedimientos
* Mantenimiento Autorizado
*Política de Liberación de
Software
* Distribución de Software
15. Existe y se utiliza una metodología para priorizar los
requerimientos de cambios al sistema de los
Se consideran procedimientos de cambios de emergencia en los manuales de
operaciones
El control de cambios es un procedimiento formal tanto para los usuarios como para
los grupos de desarrollo
La bitácora de control de cambios asegura que todos los cambios mostrados
fueron resueltos
El usuario está satisfecho con el resultado de los cambios solicitados -
calendarización y costos
Para una selección de cambios en la bitácora de control de cambios:
el cambio trajo como resultado modificaciones en los programas y
operaciones
los cambios hayan sido llevados a cabo como fueron documentados la
documentación actual refleja el ambiente modificado
El proceso de cambios es monitoreado en cuanto a mejoras en el conocimiento,
efectividad en el tiempo de respuesta y satisfacción del usuario con respecto al
proceso
El mantenimiento al sistema de Intercambio de rama privada o Exchange
Private Branch (PBX) se incluye en los procedimientos de control de cambios
EVALUAR LOS CONTROLES:
CONSIDERANDO SÍ:
16. EVALUAR LA
SUFICIENCIA:
Para una muestra de cambios, la administración ha
aprobado los siguientes puntos:
* Solicitud de cambios
* Especificación del cambio
* Acceso al programa fuente
* Finalización del cambio por parte del programador
*Solicitud para mover el programa fuente al ambiente
de prueba
* Finalización de pruebas de aceptación
* Solicitud de compilación y paso a producción
*Determinación y aceptación del impacto general y
específico
* Desarrollo de un proceso de distribución
17. EVALUAR EL
RIESGO DE LOS
OBJETIVOS DE
CONTROL NO
ALCANZADOS
Para sistemas seleccionados de la función de
servicios de información:
una verificación en cuanto a si la documentación
determina el requerimiento o si el cambio del
sistema ha sido aprobado y priorizado por parte de
la administración de las áreas usuarias afectadas y
el proveedor de servicios
la confirmación de la existencia y adecuación de
evaluación del impacto en formas de control de
cambios
la obtención del conocimiento del cambio a través
de un acuse de recibo de solicitud de cambios de la
fun-ción de servicios de información
18. Direccionamiento actividades de aprendizaje
Actividades:
• Revisar el aula virtual
• Realizar las actividades y tareas planteadas.
Se recomienda describir por ejemplo:
• Tomar apuntes esenciales, revisar el material de clases